Windows 이벤트 로그 기반 포렌식 분석
Windows 포렌식에서 결국 제일 먼저 보게 되는 건 이벤트 로그다.
처음엔 종류도 많고 좀 복잡해 보이는데, 몇 번 보다 보면 흐름이 어느 정도 잡힌다.
일단 중요한 건 “어떤 순서로 볼 것인가”인 것 같다.
로그 위치부터 확인
기본 로그 위치는 여기다:
C:\Windows\System32\winevt\Logs\
여기 들어가면 .evtx 파일들이 쭉 있는데
이걸 기반으로 분석을 시작하면 된다.
어떤 로그부터 보면 되는지
처음에는 Application, System, Security 다 봐야 하나 싶었는데
결론적으로는 Security 로그부터 보는 게 맞는 것 같다.
- Security → 로그인 / 권한 / 인증 관련
- System → 시스템 상태
- Application → 프로그램 로그
👉 실제 공격 흔적은 대부분 Security에 먼저 남는다.
로그인 이벤트부터 확인
로그인 관련 이벤트는 이 정도만 기억해도 충분하다.
| Event ID | 설명 |
|---|---|
| 4624 | 로그인 성공 |
| 4625 | 로그인 실패 |
로그를 보다 보면 이런 패턴이 자주 보인다.
4625 → 4625 → 4625 → 4624
이건 거의 brute force라고 봐도 될 것 같다.
여러 번 실패하다가 결국 성공한 케이스.
다음은 프로세스 실행
로그인 이후에는 자연스럽게 프로세스를 보게 된다.
Event ID: 4688
이 이벤트는 “새로운 프로세스 생성”이다.
예를 들면:
{
"NewProcessName": "powershell.exe",
"ParentProcessName": "explorer.exe"
}
여기서 중요한 건
👉 어떤 프로세스가 실행됐는지보다
👉 왜 실행됐는지인 것 같다.
직접 확인해보면
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4688}
생각보다 로그가 많이 나온다.
그래서 정상/비정상 구분 기준을 잡는 게 중요하다.
권한 상승 체크
이벤트 중에 이건 따로 눈여겨볼 필요가 있다.
4672
이건 관리자 권한이 할당됐다는 의미다.
👉 이게 로그인 직후에 나오면 조금 의심해볼 필요가 있다.
전체 흐름 정리
지금까지 보면 흐름은 거의 이렇게 간다.
로그인 → 권한 상승 → 프로세스 실행 → 네트워크
이걸 이벤트로 보면:
4624 → 4672 → 4688 → 5156
이 패턴이 보이면
“단순 사용자 행동”이라기보다는
“어떤 작업이 의도적으로 실행된 것”처럼 보인다.
지금 기준에서 의심 포인트
로그를 보면서 일단 체크하고 있는 건 이 정도다.
- 비정상 시간 로그인
- 동일 IP 반복 실패
- 관리자 권한 획득
- powershell 실행
이 중에서 2~3개가 같이 나오면
그건 그냥 넘기면 안 될 것 같다.
아직 애매한 부분
- 정상 powershell vs 악성 powershell 구분
- 로그 누락/삭제 여부
- 시간 차이 (clock skew)
이건 조금 더 데이터를 봐야 판단할 수 있을 듯하다.
메모
로그는 생각보다 많은 걸 말해준다.
근데 동시에 “보여주지 않는 것도 있다”는 느낌이 든다.
그래서 한 가지 로그만 보는 게 아니라
흐름으로 보는 게 중요한 것 같다.
다음에 볼 것
- Sysmon 로그 같이 붙여보기
- PowerShell 로그 deeper 분석
- Sigma rule 적용
일단 여기까지.
